AWS服务配置与管理实践

31、如何在Route 53中设置健康检查？

在Route 53图形用户界面中，点击“创建健康检查”。 为检查命名，并选择“要监控的内容”的“端点”单选按钮。可以使用练习8.1中创建的Web服务器作为健康检查端点。 选择“按IP地址指定端点”单选按钮后，为协议选择HTTP或HTTPS（这取决于为网站配置的传输层安全[TLS]加密方式，如果不确定，HTTP是个不错的选择）。 输入服务器的IP地址，并为端口值输入80或443（同样，这取决于网站的TLS设置，如果不确定，80是个不错的选择）。 输入网站Web根目录中的文件名作为路径值。这是健康检查将尝试加载以测试网站健康状况的资源。可以使用
index.html （或者如果运行的是PHP应用程序，则使用
index.php ），但从长远来看，这可能会导致大量不必要的开销。相反，可以考虑创建一个名为
test.html 之类的小文件，并将其输入为路径。 可以创建一个警报以提醒测试失败，或者直接点击“创建健康检查”。

32、配置 Amazon Route 53 路由策略

Route 53 路由策略配置方法

Route 53 提供多种路由策略，配置方法如下：

1. 简单路由策略

默认策略 将所有请求路由到指定的 IP 地址或域名

2. 加权路由策略

为每个服务器创建单独的记录集 为每个记录集设置相同的集 ID 为每个记录集输入合适的权重数值 根据设置的比例在多个资源间分配流量

3. 延迟路由策略

为每个资源创建记录集 使用基于延迟的策略 设置相同的集 ID Route 53 会将请求定向到为每个客户端提供最低延迟的实例

4. 故障转移路由策略

将流量定向到主资源 直到健康检查确认主资源出现问题 后续流量将被发送到第二个记录集中定义的资源

33、为基于S3的静态网站创建CloudFront分发

在S3中创建一个静态网站。 从CloudFront控制台启动一个新的分发。 点击“源域名”框，将显示您账户内所有可用资源的列表。包含您网站文件的S3存储桶应在其中，选择它。

34、使用自动扩展配置并启动应用程序

以下是使用自动扩展配置并启动应用程序的步骤：

从EC2控制台，在快速启动选项卡上使用Ubuntu Server LTS AMI和
t2.micro 实例类型创建启动配置。 在创建启动配置页面，为配置命名，无需选择IAM角色或启用监控。

将以下命令保存到本地计算机的文件中，命名为
start.sh ，展开高级详细信息部分，点击“作为文件”单选按钮，从计算机中选择
start.sh 脚本，此脚本将安装Apache Web服务器并创建一个简单的
index.html 网页：

“`bash

!/bin/bash

apt-get update
apt-get install -y apache2
echo “Welcome to my website” > index.html
cp index.html /var/www/html
“`

选择（或创建）一个允许通过端口80的所有HTTP流量的安全组，然后创建配置，确保选择有效的密钥对，以便必要时可以使用SSH登录实例。

创建一个使用新启动配置的自动扩展组，为组命名，将组大小值保留为1个实例。 选择实例将启动到的虚拟专用云（VPC），在子网字段内点击一次，选择希望实例所在的子网。假设使用默认VPC，显示的任何公共子网都可以。 在配置扩展策略页面，将最小容量设置为1，最大容量设置为2。 选择目标跟踪扩展策略，将指标类型值保留为平均CPU利用率，将其目标值编辑为5%。这个异常低的值将更容易确认自动扩展是否工作，通常70%到80%的值是合理的。 无需配置通知或标签，点击“创建”完成组的创建。 组将立即尝试启动第一个实例，加载可能需要几分钟。完成后，将浏览器指向与实例关联的IP地址（可从EC2实例控制台获取）。

35、将两个 S3 存储桶同步为跨区域副本

使用 S3 控制台在两个不同区域创建两个存储桶，一个作为源存储桶，另一个作为目标存储桶。 在 S3 控制台中点击源存储桶的名称，然后点击“管理”选项卡，再点击“创建复制规则”按钮。若存储桶未启用版本控制，可点击“启用版本控制”按钮进行设置。 定义要从源存储桶复制的对象，本练习选择“应用于所有对象”。 在“目标定义”部分，选择创建的第二个存储桶作为目标。 选择“从现有 IAM 角色”，并从下拉菜单中选择“创建新角色”，创建在存储桶之间移动资产所需的权限，然后查看设置并保存规则。 保存规则，通过上传文件到源存储桶并检查目标存储桶中是否创建了副本，来确认复制是否正常工作。

36、如何使用传输加速功能上传文件到 S3 存储桶？

对现有存储桶启用 S3 传输加速功能（将存储桶名称替换为
my-bucket-name ）：


bash $ aws s3api put-bucket-accelerate-configuration --bucket my-bucket-name --accelerate-configuration Status=Enabled

通过指定
s3-accelerate 端点传输文件。确保使用正确的文件名、存储桶名称和区域：


bash $ aws s3 cp filename.mp4 s3://my-bucket-name --region us-east-1 --endpoint-url http://s3-accelerate.amazonaws.com

37、创建并部署一个 EC2 负载均衡器

在两个子网中各创建一个实例，记录所选子网的标识。 使用 SSH 访问实例，安装 Apache Web 服务器，并创建包含简短描述的唯一
index.html 文件。 从 EC2 控制台创建负载均衡器，选择应用程序负载均衡器，命名，指定“面向互联网”方案、IPv4 地址类型、默认 HTTP 和端口 80 作为监听器，选择正确的 VPC 和两个可用区。 选择或创建允许访问端口 80 的安全组。 点击创建目标组链接，将目标类型改为 IP，添加健康检查文件的路径。 在注册目标页面，使用实例的私有 IP 将两个 EC2 实例注册为目标组的目标。 负载均衡器激活后，从负载均衡器控制台获取其 DNS 名称并粘贴到浏览器，刷新浏览器确认两个实例都能被访问。 可关闭一个实例而不影响负载均衡器服务。

38、创建一个嵌套栈，该嵌套栈会创建一个EC2自动扩展组和支持网络基础设施，已知需要知道所在区域的安全外壳（SSH）密钥对的名称，如何完成此操作？

步骤如下：

访问 http://awscsa.github.io 并点击第14章。 下载
web-stack.json 和
network-stack.json CloudFormation 模板。

39、创建一个 CloudWatch 仪表盘

1. 确保至少有一个正在运行的 EC2 实例和至少一个包含一些文件的 S3 存储桶。

2. 从 CloudWatch 控制台，点击“仪表盘”，再点击“创建仪表盘”，并为仪表盘命名。

3. 在“添加小部件”页面，选择“折线”指标，然后选择“指标”选项。

4. 从屏幕下半部分显示的指标中，选择适当的 AWS 区域，点击“EC2”，然后点击“按实例指标”，勾选几个指标的复选框。

40、以 IAM 用户身份创建并承担角色的步骤是什么？

IAM 用户创建并承担角色的练习指导

此练习指导以 IAM 用户身份创建并承担角色，步骤如下：

以管理型 IAM 用户登录，在 IAM 仪表板屏幕左侧菜单中点击“角色”，再点击“创建角色”按钮； 在“选择受信任实体类型”下，点击“另一个 AWS 账户”按钮； 在“账户 ID”处输入 AWS 账户编号，点击“下一步：权限”按钮； 选择 AmazonEC2ReadOnlyAccess AWS 托管策略，点击“下一步：标签”按钮； 点击“下一步：审核”按钮； 为角色输入名称，如
EC2ReadOnlyRole ； 点击“创建角色”按钮； 在 AWS 管理控制台顶部导航栏，点击 IAM 账户名称，会出现下拉菜单； 点击下拉菜单中的“切换角色”链接； 点击“切换角色”按钮； 输入 12 位 AWS 账户编号或别名以及步骤 6 中创建的角色名称； 点击“切换角色”按钮，角色名称将显示在顶部导航栏，此时将以创建的角色进行操作； 尝试启动 EC2 实例，会失败，因为承担的角色没有
RunInstances 权限； 要切换回 IAM 用户，点击显示角色名称和 AWS 账户编号的右上角菜单栏，然后点击“返回 [IAM 用户名]”链接。

41、配置VPC流日志记录，将流日志发送到CloudWatch Logs日志组的步骤是什么？

步骤如下：

在VPC控制台中，选择要记录流量的VPC，点击“流日志”选项卡； 点击“创建流日志”按钮； 在“目标日志组”字段中，输入你选择的名称，如FlowLogs； 指定一个角色，AWS可以为你创建该角色，点击“设置权限”链接； 会打开一个新的浏览器标签页，点击“允许”按钮，AWS将创建一个名为FlowlogsRole的角色； 返回带有“创建流日志向导”的上一个标签页，选择FlowlogsRole； 点击“创建”按钮。

最多需要10分钟，日志才会开始流入新的日志组。

42、如何加密一个连接到正在运行的EC2实例的未加密弹性块存储（EBS）卷？

针对此练习，你要加密一个连接到正在运行的EC2实例的未加密卷。步骤如下：

从一个未加密的快照或AMI创建一个EC2实例。若已有合适的实例，也可使用。 在EC2控制台，点击左侧菜单中的“卷”。 选择连接到你实例的卷。 在“操作”菜单下，点击“创建快照”，EBS将开始为该卷创建一个未加密的快照。 在左侧菜单中，点击“快照”，等待快照创建完成。 选择该快照，在“操作”菜单下，点击“复制”。 选中“加密此快照”复选框。 在“主密钥”下拉菜单旁边，选择用于加密快照的KMS密钥，你可以使用自己的客户主密钥或默认的AWS/EBS密钥。 点击“复制”按钮，EBS将开始创建该快照的加密副本，卷越大，加密过程耗时越长，大致规则是每分钟约3GB。 选择加密后的快照，在“操作”菜单下，点击“创建卷”。 选择卷类型、大小和可用区，这些可以与原始卷不同。 点击“创建卷”按钮，新卷将使用加密快照时所用的相同密钥进行加密。

之后，你可以从实例上分离未加密的卷，并连接新的加密卷。复制快照时，你可以选择目标区域，用于加密目标快照的密钥必须存在于目标区域。

43、创建一个 AWS 预算以发送警报

点击计费仪表板中的“预算”链接，然后点击“创建预算”。 选择“成本预算”选项，然后点击“下一步”。 为预算命名（如“每月限额”），选择“每月”作为周期，选择“定期预算”单选按钮，这将使预算每月无限期运行。在“预算金额”字段中输入 100（此值将被解释为美元），将所有“汇总成本”值保留为“未混合成本”，完成后点击“下一步”。 在“警报”下拉菜单中选择“实际”，在“警报阈值”中输入 80，在下拉菜单中选择“预算金额的百分比”，在“电子邮件联系人”字段中输入你的电子邮件地址，然后点击“创建”。 下一步可选择为警报添加操作，选择一个涵盖你要操作资源的 IAM 角色，然后选择操作的具体内容。设置完成后，当账户资源产生的费用超过 80 美元（预算金额 100 美元的 80%）时，你将收到电子邮件警报。若不需要刚创建的预算，可在仪表板中选择该条目并删除。

44、在简易月度计算器中如何构建自己的资源栈？

简易月度计算器（ http://calculator.s3.amazonaws.com/index.html ）可让你精细选择服务资源，例如：

实例配置 ： 区域：美国东部1区 系统类型：Linux 实例类型：m4.large

实例数量：3个 EC2 实例

存储配置 ：

EBS 卷容量：500GB 存储类型：预配置 IOPS SSD 设置 IOPS：1000

你还可以输入预计实例实际运行的月份占比。

完成输入项目将使用的每个相关服务的资源栈后，预计月账单会显示在页面顶部的标签中。点击该标签可：

查看资源栈月成本的详细分项明细 以 CSV 格式下载成本数据

保存估算 后，系统会生成一个可与同事或客户分享的 URL。

45、使用 AWS CLI 请求现货实例舰队

使用 AWS CLI 请求现货实例舰队的步骤如下：

从 EC2 启动实例对话框的快速启动选项卡中，复制 Ubuntu LTS AMI 的 AMI ID 并保存。 从 VPC 仪表板，记录 VPC 中两个子网的子网 ID，点击安全组并记录适合现货实例权限的安全组 ID，若没有则创建新的。 从 IAM 角色页面创建角色，选择 AWS 服务、EC2、EC2 – 舰队，然后点击下一步。 选择 AWSEC2FleetServiceRolePolicy 并创建角色，复制其 ARN。 创建
Config.json 文件，填入正确值。 运行 CLI 命令指向刚创建的
Config.json 文件。 若 AWS CLI 报错，仔细阅读消息并找出问题。 到 EC2 仪表板的现货请求页面，选择舰队条目，点击历史录选项卡查看消息，纠正错误，必要时取消请求并重新启动。 使用完资源后关闭。